Das California Consumer Privacy Act, auch bekannt als CCPA, tritt am 1. Januar 2020 in KraftAufgrund dieser bevorstehenden Gesetzgebung wurde das Internet mit Nachrichten zum kalifornischen Verbraucherdatenschutzgesetz überflutet, von denen die meisten nur teilweise die Anwendbarkeit, Regeln und möglichen Strafen des kalifornischen Verbraucherdatenschutzgesetzes behandeltenDies hat uns veranlasst, einen detaillierten Leitfaden zu diesem Gesetz zu erstellen und Ihnen alle Informationen bereitzustellen, die Sie wissen sollten, bevor es in Kraft tritt
Was wird der CCPA erreichen?
Der Zweck des California Consumer Privacy Act ist ziemlich einfachSein Hauptziel ist es, personenbezogene Daten von Einzelpersonen zu sichern, indem Unternehmen verpflichtet werden, ihre Zustimmung einzuholen, bevor sie sensible oder personenbezogene Daten sammeln oder verarbeitenDer kalifornische Consumer Privacy Act wird, so der breite Konsens, die Art und Weise verändern, wie Unternehmen über Benutzerdaten denkenDiese Verordnung wird das erste Consumer Right to Privacy Act sein, das Kalifornien verabschiedet hat, und kann ein großer Schritt nach vorne sein, um den Datenschutz auf breiter Front zu gewährleisten, da zahlreiche andere Staaten ebenfalls begonnen haben, an ihren Datenschutzbestimmungen zu arbeiten
Ist CCPA die kalifornische Version der DSGVO?
Wenn wir einen direkten Vergleich zwischen dem California Consumer Privacy Act und der DSGVO anstellen würden, gibt es einige grundlegende Ähnlichkeiten zwischen den beidenBeide Gesetze konzentrieren sich auf die Art und Weise, wie personenbezogene Daten verarbeitet werdenSowohl das California Consumer Privacy Act als auch die GDPR wurden zum Schutz von Einzelpersonen geschaffen, und diese Gesetze gelten für alle, die Geschäfte innerhalb des Kontrollbereichs der jeweiligen Gesetze tätigen
Während es einige Kernähnlichkeiten zwischen den beiden gibt, dienen sie in einigen Fällen dazu, die Unterschiede hervorzuhebenAls umfassendere der beiden umfasst die DSGVO auch Rechtsgrundlagen und Grundsätze der Verarbeitung personenbezogener Daten, spezifische Datensicherheitsmaßnahmen und VerhaltenskodizesAuf der anderen Seite verlangt das Consumer Privacy Act im Gegensatz zur DSGVO von Unternehmen, dass sie regelmäßig aktuelle Informationen über ihre Handelspraktiken mit personenbezogenen Daten veröffentlichen und es Einzelpersonen ausdrücklich ermöglichen, den Verkauf personenbezogener Daten abzulehnen
Vor diesem Hintergrund ist der Consumer Privacy Act in vielerlei Hinsicht die kalifornische Version der DSGVOEs ähnelt in einigen wichtigen Segmenten offen dem europäischen Recht, weicht aber letztendlich in einigen Anforderungen an personenbezogene Daten davon ab
Was sollte eine CCPA-konforme Datenschutzrichtlinie enthalten?
Dieser Teil des kalifornischen Verbraucherschutzgesetzes wird für Unternehmen wahrscheinlich am schwierigsten zu erfüllen sein, einfach weil er viele verschiedene Bedingungen enthält, die sie erfüllen müssen, um mit dem CCPA konform zu seinAbgesehen davon enthält der Text des California Consumer Privacy Act alle Informationen, die Sie verwenden müssen, um die Einhaltung zu gewährleistenHier ist ein kurzer Überblick über das California Consumer Privacy Act:
- CCPA-Verbraucherrechte – Das Verbraucherdatenschutzgesetz legt alle Datenschutzrechte der Verbraucher klar festNoch wichtiger ist, dass die Verbraucherdatenschutzdefinition festlegt, dass Verbraucher das Recht haben, auf personenbezogene Daten zuzugreifenSie können dies zweimal im Jahr kostenlos tun
- Zugriff und Löschung beantragen – Diese Anforderung des CCPA baut auf der ersten Bestimmung auf, indem sie Benutzern einen zuverlässigen Kanal bietet, über den sie auf ihre personenbezogenen Daten zugreifen und deren Löschung beantragen könnenEs enthält eine Webseite und eine gebührenfreie Nummer
- „Meine Daten nicht verkaufen“-Seite – Unternehmen, die die personenbezogenen Daten ihrer Benutzer verkaufen, müssen eine Webseite bereitstellen, die dem Verbraucherdatenschutzgesetz entspricht und auf der Benutzer den Verkauf ihrer personenbezogenen Daten ablehnen können
- Kategorien erfasster personenbezogener Daten – Jedes Unternehmen muss eine detaillierte Liste der Kategorien personenbezogener Daten bereitstellen, die es in den letzten zwölf Monaten erfasst hatDazu gehören personenbezogene Datenidentifikatoren, Beschäftigungs- und Bildungsinformationen, geschützte rechtliche Merkmale und andere Kategorien personenbezogener Daten, die im California Consumer Protection Act aufgeführt sind
- Quellen personenbezogener Daten – Neben der Information ihrer Kunden, welche Art von personenbezogenen Daten sie sammeln, fordert der California Consumer Privacy Act Unternehmen auch auf, ihre Quellen personenbezogener Daten offenzulegenGenauer gesagt schreibt das Consumer Privacy Act vor, dass Unternehmen nur die Kategorien von Quellen auflisten müssen, nicht aber die Quelle direkt benennen müssen
- Grund für die Erhebung personenbezogener Daten – Verbraucherschutzgesetze schreiben auch vor, dass Unternehmen den Verbrauchern den Zweck der Erhebung ihrer personenbezogenen Daten mitteilen müssenDiese Bestimmung des California Consumer Privacy Act ist eine beträchtliche Standardklausel, die bereits in vielen Datenschutzrichtlinien enthalten ist
- Von Ihnen verkaufte personenbezogene Daten – Wenn ein Unternehmen personenbezogene Daten verkauft, muss es alle Kategorien personenbezogener Daten auflisten, die es im vergangenen Jahr verkauft hat
- Personenbezogene Daten, die Sie aus geschäftlichen Gründen offengelegt haben – Schließlich, aber noch wichtiger, verlangt das CCPA Consumer Credit Protection Act von jedem Unternehmen, jede Kategorie personenbezogener Daten aufzulisten, die es aus geschäftlichen Gründen offengelegt hatDas Consumer Privacy Act sieht sieben spezifische Kategorien von Aktivitäten vor, die von Sicherheits- und Leistungsdiensten bis hin zu Audits und Tests reichen
Was sind die Strafen bei Nichteinhaltung?
Der CCPA gilt für alle gewinnorientierten Unternehmen, die Daten von Einwohnern Kaliforniens sammelnDementsprechend kann jedes Unternehmen, das die Vorschriften des California Consumer Privacy Act nicht einhält, mit vorab festgelegten Strafen belegt werdenDie Höhe des Bußgeldes hängt davon ab, ob die Nichteinhaltung vorsätzlich oder unabsichtlich warWenn letzteres der Fall ist, beträgt die vom CCPA festgelegte Höchststrafe 2.500 US-DollarWenn der Verstoß dagegen vorsätzlich begangen wird, schreibt das Consumer Privacy Act eine zivilrechtliche Höchststrafe von 7.500 US-Dollar vorUnter Berücksichtigung beider Aspekte bleibt unklar, was genau als Verstoß angesehen wird und wann der California Consumer Privacy Act dies als vorsätzlich betrachtet
Wie mache ich eine Website CCPA-konform?
Nach all dem kommen wir nun zum wohl wichtigsten Thema dieses Artikels, der Einhaltung des California Consumer Privacy ActZweifellos werden Sie dafür einige Arbeit leisten müssen, aber der Aufwand hängt davon ab, ob Sie bereits Änderungen gemäß der DSGVO vorgenommen habenHier finden Sie eine detaillierte Übersicht darüber, was Sie tun können, um Ihre Website mit dem California Consumer Privacy Act in Einklang zu bringen
Sie sind nicht DSGVO-konform
Wenn Sie ganz von vorne beginnen, sind die erforderlichen Schritte etwas komplizierter und erfordern etwas mehr AufwandSie müssen alle Anforderungen der DSGVO und des CCPA auf einmal erfüllenDies bedeutet, dass Sie, wenn Sie ein Unternehmen, Dienstanbieter oder ein im CCPA definierter „Dritter“ sind, alle in diesem kalifornischen Datenschutzgesetz festgelegten besonderen Anforderungen sowie alle anderen sich überschneidenden Anforderungen erfüllen müssen in der DSGVODer folgende Abschnitt enthält einige der wichtigsten Verbraucherdatenschutzrechte, die die DSGVO berührt
Sie sind bereits DSGVO-konform
Wenn Ihre Website bereits DSGVO-konform ist, müssen Sie keine massiven Änderungen vornehmen, um die CCPA-Compliance-Vorschriften zu erfüllenDa die DSGVO umfassender ist, da sie für alle Organisationen gilt, deckt sie die meisten Dinge ab, um die Sie sich in Bezug auf den California Information Privacy Act kümmern müssenUm DSGVO-konform zu sein, sollte Ihre Website unter anderem:
- Haben Sie eine präzise geschriebene Datenschutzrichtlinie
- Zustimmung zur Verwendung von Cookies einholen
- Zugriffs- und Löschrecht auf die personenbezogenen Daten der Benutzer gewähren
- Verfügen Sie über geeignete Sicherheitssysteme
Unabhängig davon, in welcher Situation Sie sich befinden, das Hauptaugenmerk des Verbraucherschutzgesetzes und der DSGVO liegt darauf, dass Websitebesitzer Systeme für ihre Plattformen entwickeln müssen, die Benutzer benachrichtigen und schützen könnenSie sollten auch personenbezogene Daten der Benutzer im Falle von Datenschutzverletzungen, Lecks oder Bedrohungen in Bezug auf personenbezogene Daten im Allgemeinen schützenEs bleibt noch mehr als genug Zeit, um Ihre Website mit den Anforderungen des California Consumer Privacy Act in Einklang zu bringen, also stellen Sie sicher, dass Sie gründlich sind und alle Kästchen ankreuzen, denn das kann Ihnen in Zukunft eine Menge Ärger und Kopfschmerzen ersparen
Um mehr darüber zu erfahren, wie Hideez Enterprise Solution Ihre CCPA-Compliance mit geeigneten Authentifizierungssystemen verbessern kann, vereinbaren Sie eine Demo: